Windows 应急响应手册v1.2 【重要更新】
简介
大家好,《Windows 应急响应手册 v1.2》 发布啦!
本次是一个大更新,解决了两个大问题,添加了4个大的事件处置流程以及一些更新,下载链接在文末
两个大问题是:
-
Windows 平台的 Adobe acrobat DC 、Firefox 浏览器、Edge浏览器等打开手册出现无法显示目录、内容为空白等问题
-
全平台无法搜索,复制内容后,粘贴会出现乱码的情况
第一个大问题产生的原因是封面添加方式,之前一直是使用 MacOS 自带的预览程序添加的封面,这会导致 MacOS 以外的其他平台部分程序解析出现问题,这也是 Github 上放置项目以后得到的最有价值的反馈,感谢反馈的朋友们,这是直接影响手册效果的大问题,这次我们解决了,解决方法是通过 WPS 添加封面,感谢 WPS
第二个大问题产生的原因是 Typora 的 Mint 主题没有包含中文字体,所以我们通过修改该主题的源代码解决了导出 PDF 无法搜索、复制粘贴乱码的问题
这两个问题对使用之前手册的用户影响太大了,希望大家帮忙多多转发,尽可能将本次更新传递到用户们手里!
Adobe acrobat DC
Edge
Firefox
大家的反馈对这本手册的发展很重要,我们将大家的反馈信息列表放在了下面,我们将下载链接放在文末就是希望大家可以看到提供反馈的用户以及具体反馈的内容,也是我们对于反馈的朋友们的公开回复,感谢大家反馈~
更新日记
v1.2 - 20240710
修复了 Windows 平台无法查看目录或显示空白的问题
修复了PDF版手册无法搜索以及复制乱码的问题
添加 MSSQL 事件排查流程
添加钓鱼事件排查流程
添加 badusb 投毒事件排查流程
添加了隧道事件 -> 0x08 隧道处置流程
完善了勒索病毒处置流程
完善了服务程序 -> 11. 进阶性排查 中二进制校验脚本
常规安全检查章节添加了 0x02 证书排查章节
小技巧章节添加了 0x04 查找文件占用小工具 IObit Unlocker
小技巧章节添加了 0x05 内网文件传输工具
远控后门 ->流量检测->地址诱骗章节完善了修改 hosts 部分描述,添加了图片示例
添加了日志分析工具 —— FullEventLogView
添加了编解码与文本对比工具 —— He3
添加了流量监控工具 Netsh、Wireshark
v1.1 - 20240307
v1.0 - 20240203
用户反馈列表
在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以
路人甲代表微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以
路人甲代表,可以联系我们修改
1. 寻找恶意样本部分 【文字错误】
反馈项
反馈信息
反馈编号
WYJXY-0001
反馈者
路人甲
反馈时间
2024-02-06 11:07
反馈途径
公众号留言
反馈内容
将一下内容改为将以下内容
完成情况
已修复
完成时间
2024-02-06 19:28
备注信息
2. 威胁分析部分 【平台名称错误】
反馈项
反馈信息
反馈编号
WYJXY-0002
反馈者
safefox
反馈时间
2024-02-06 17:38
反馈途径
微信
反馈内容
将 PCHunter 修改为安芯网盾未知威胁文件检测系统
完成情况
已修复
完成时间
2024-02-06 19:28
备注信息
3. 添加 OpenArk 工具
反馈项
反馈信息
反馈编号
WYJXY-0003
反馈者
safefox
反馈时间
2024-02-06 17:38
反馈途径
微信
反馈内容
考虑添加 OpenArk 工具
完成情况
已完成
完成时间
2024-03-06 17:43
备注信息
4. 添加 Defender 日志
反馈项
反馈信息
反馈编号
WYJXY-0004
反馈者
safefox
反馈时间
2024-02-06 17:38
反馈途径
微信
反馈内容
日志分析部分添加 defender 日志
完成情况
已添加
完成时间
2024-03-05 00:13
备注信息
5. 添加二进制文件执行日志
反馈项
反馈信息
反馈编号
WYJXY-0005
反馈者
safefox
反馈时间
2024-02-06 17:50
反馈途径
微信
反馈内容
添加 Windows 历史运行程序排查方法
完成情况
已添加
完成时间
2024-03-06 00:06
备注信息
6. 完善部分 Windows 事件及 ID
反馈项
反馈信息
反馈编号
WYJXY-0006
反馈者
safefox
反馈时间
2024-02-19 13:53
反馈途径
微信
反馈内容
补充部分协议及服务的 Windows 日志
完成情况
已完善
完成时间
2024-03-06 22:56
备注信息
7. 谁决定计划任务的执行结果部分【文字错误】
反馈项
反馈信息
反馈编号
WYJXY-0007
反馈者
safefox
反馈时间
2024-02-19 14:19
反馈途径
微信
反馈内容
小时 -> 消失
完成情况
已修复
完成时间
2024-03-05 00:15
备注信息
8. 添加痕迹查看工具
反馈项
反馈信息
反馈编号
WYJXY-0008
反馈者
爱做梦的大米饭
反馈时间
2024-02-10 07:12
反馈途径
微信
反馈内容
添加YDArk、LastActivityView
完成情况
已添加 LastActivityView,YDArk 不开源,暂不添加
完成时间
2024-03-05 20:15
备注信息
9. 完善小技巧查找文件部分
反馈项
反馈信息
反馈编号
WYJXY-0009
反馈者
爱做梦的大米饭
反馈时间
2024-02-10 07:12
反馈途径
微信
反馈内容
添加命令行以及 everything 语法
完成情况
已完成
完成时间
2024-03-05 17:53
备注信息
10. 添加深信服僵尸网络查杀工具
反馈项
反馈信息
反馈编号
WYJXY-0010
反馈者
路人甲、爱做梦的大米饭
反馈时间
2024-02-4 09:01
反馈途径
微信
反馈内容
添加深信服僵尸网络查杀工具
完成情况
已添加
完成时间
2024-03-06 17:14
备注信息
11. 添加 SQL Server 应急分析
反馈项
反馈信息
反馈编号
WYJXY-0011
反馈者
爱做梦的大米饭
反馈时间
2024-02-10 07:12
反馈途径
微信
反馈内容
添加 SQL Server 应急分析
完成情况
已添加
完成时间
2024-07-10 00:43
备注信息
12. 完善二进制程序校验逻辑
反馈项
反馈信息
反馈编号
WYJXY-0012
反馈者
NOPTeam
反馈时间
2024-03-01 20:54
反馈途径
作者自查
反馈内容
验证签名通过后应该进一步验证签名发布者是否为微软
完成情况
已完成
完成时间
2024-03-06 23:59
备注信息
13. 修改 powershell 为 Powershell 【美化】
反馈项
反馈信息
反馈编号
WYJXY-0013
反馈者
NOPTeam
反馈时间
2024-03-04 16:20
反馈途径
作者自查
反馈内容
出于美观需求,将 powershell 写成 Powershell
完成情况
已完成
完成时间
2024-03-04 16:27
备注信息
14. 添加 beaconEye 工具
反馈项
反馈信息
反馈编号
WYJXY-0014
反馈者
爱做梦的大米饭
反馈时间
2024-03-05 11:09
反馈途径
微信
反馈内容
根据 Yara 检测恶意程序
完成情况
暂不添加
完成时间
2024-03-07 00:11
备注信息
工具已经3年未更新
15. 新建 Windows 近期活动检查项
反馈项
反馈信息
反馈编号
WYJXY-0015
反馈者
NOPTeam
反馈时间
2024-03-01 20:54
反馈途径
作者自查
反馈内容
增加近期Windows活动以及二进制执行记录
完成情况
已完成
完成时间
2024-03-06 00:08
备注信息
16. 添加 360系统急救箱
反馈项
反馈信息
反馈编号
WYJXY-0016
反馈者
megaparsec
反馈时间
2024-03-23 19:53
反馈途径
微信
反馈内容
杀毒软件推荐 360系统急救箱
完成情况
暂不添加
完成时间
2024-03-23 20:23
备注信息
不适用于服务器系统,且不比360杀毒强
17. 添加文件时占用强制删除
反馈项
反馈信息
反馈编号
WYJXY-0017
反馈者
megaparsec
反馈时间
2024-03-23 19:53
反馈途径
微信
反馈内容
存在文件占用时,无法强制删除,可以使用IObit Unlocker
完成情况
已添加
完成时间
2024-07-06 17:59
备注信息
18. 添加使用沙箱
反馈项
反馈信息
反馈编号
WYJXY-0018
反馈者
megaparsec
反馈时间
2024-03-23 19:53
反馈途径
微信
反馈内容
鉴定样本可以借助沙箱,如果允许样本上传的话
完成情况
已忽略
完成时间
2024-03-23 19:54
备注信息
手册中已包含沙箱相关内容
19. 添加 Rookit 的排查应急
反馈项
反馈信息
反馈编号
WYJXY-0019
反馈者
megaparsec
反馈时间
2024-03-23 19:53
反馈途径
微信
反馈内容
增加 Rookit 的排查应急
完成情况
暂未添加
完成时间
2024-03-23 20:23
备注信息
需要大家主动提供案例,使用网络上的案例可能会侵权
20. 建议给pdf增加目录
反馈项
反馈信息
反馈编号
WYJXY-0020
反馈者
zer07z
反馈时间
2024-03-18 11:10
反馈途径
Github Issues
反馈内容
pdf增加目录;增加应急响应check list
完成情况
已修复
完成时间
2024-07-10 12:30
备注信息
手册本身是有目录(标签)以及check list的,目录由PDF阅读软件自动生成,如果在页面中显式放入目录,单单目录就会占用前 30 多页内容,会给大家阅读带来障碍,之前版本由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录
常规安全检查部分就是所谓的 check list
21. 手册显示空白&不显示目录导航
反馈项
反馈信息
反馈编号
WYJXY-0021
反馈者
value-0
反馈时间
2024-03-19 17:28
反馈途径
Github Issues
反馈内容
火狐打开手册显示空白;Adobe acrobat DC打开手册不显示目录导航
完成情况
已修复
完成时间
2024-07-10 12:30
备注信息
由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录
22. 完善二进制校验脚本
反馈项
反馈信息
反馈编号
WYJXY-0022
反馈者
NOP Team
反馈时间
2024-03-25 11:25
反馈途径
作者自查
反馈内容
0x16 服务程序 -> 11. 进阶性排查中二进制校验脚本提取路径存在问题,遇到空格会截断
完成情况
已完善
完成时间
2024-07-06 23:52
备注信息
23. 添加勒索病毒相关处理逻辑
反馈项
反馈信息
反馈编号
WYJXY-0023
反馈者
NOP Team
反馈时间
2024-03-26 15:09
反馈途径
作者自查
反馈内容
完善勒索病毒处理流程
完成情况
已完善
完成时间
2024-07-07 22:29
备注信息
24. 添加修改 hosts 文件的示例
反馈项
反馈信息
反馈编号
WYJXY-0024
反馈者
郑炼俊
反馈时间
2024-06-18 17:13
反馈途径
微信
反馈内容
远控后门->流量检测->地址诱骗章节完善修改 hosts 部分描述,添加图片示例
完成情况
已添加
完成时间
2024-07-06 16:30
备注信息
25. 手册无法搜索
反馈项
反馈信息
反馈编号
WYJXY-0025
反馈者
Heraxt
反馈时间
2024-07-04 10:19
反馈途径
微信
反馈内容
手册在Windows平台不能直接搜索
完成情况
已修复
完成时间
2024-07-10 12:30
备注信息
Typora Mint 主题导致,通过修改源代码已修复
26. 杀死进程树部分【文字错误】
反馈项
反馈信息
反馈编号
WYJXY-0026
反馈者
路人甲
反馈时间
2024-06-27 15:01
反馈途径
公众号留言
反馈内容
cmd.txt 改为 cmd.exe
完成情况
已完成
完成时间
2024-07-06 16:24
备注信息
27. 增加隧道处置流程
反馈项
反馈信息
反馈编号
WYJXY-0027
反馈者
NOP Team
反馈时间
2024-07-07 22:31
反馈途径
作者自查
反馈内容
增加隧道处置流程
完成情况
已完成
完成时间
2024-07-07 22:46
备注信息
28. 勒索病毒处置部分【文字错误】
反馈项
反馈信息
反馈编号
WYJXY-0028
反馈者
xxxr_sec
反馈时间
2024-05-16 12:25
反馈途径
微信
反馈内容
收到 -> 受到
完成情况
已修复
完成时间
2024-07-07 22:58
备注信息
29. 添加日志分析工具 —— FullEventLogView
反馈项
反馈信息
反馈编号
WYJXY-0029
反馈者
xxxr_sec、NOP Team
反馈时间
2024-05-16 13:53
反馈途径
微信
反馈内容
添加日志分析工具 FullEventLogView
完成情况
已添加
完成时间
2024-07-07 23:46
备注信息
30. 添加文本对比工具
反馈项
反馈信息
反馈编号
WYJXY-0030
反馈者
xxxr_sec
反馈时间
2024-05-16 13:53
反馈途径
微信
反馈内容
添加文本对比工具
完成情况
已添加
完成时间
2024-07-07 23:45
备注信息
添加了 He3 ,除了文本对比功能外,支持大量的编解码等功能
31. 添加应用系统和中间件的暴力破解
反馈项
反馈信息
反馈编号
WYJXY-0031
反馈者
xxxr_sec
反馈时间
2024-05-16 13:53
反馈途径
微信
反馈内容
暴力破解模块中是否考虑添加针对应用系统或中间件暴力破解的内容
完成情况
已忽略
完成时间
2024-05-06 13:53
备注信息
特定的应用程序已经有了,中间件属于Web范畴,在将来的 Web 应急响应手册中会涉及
32. 添加流量监控工具
反馈项
反馈信息
反馈编号
WYJXY-0032
反馈者
xxxr_sec
反馈时间
2024-05-16 13:53
反馈途径
微信
反馈内容
是否会添加流量监控工具
完成情况
已完成
完成时间
2024-07-07 23:09
备注信息
添加了 Netsh 和 Wireshark,由于 MMA 已经停止开发,暂时不加进去
33. 添加内网文件传输工具
反馈项
反馈信息
反馈编号
WYJXY-0033
反馈者
NOP Team
反馈时间
2024-04-29 20:44
反馈途径
作者自查
反馈内容
考虑无法使用U盘传输文件的情况,添加内网文件传输工具
完成情况
已添加
完成时间
2024-07-08 13:36
备注信息
34. 添加证书排查
反馈项
反馈信息
反馈编号
WYJXY-0034
反馈者
NOP Team
反馈时间
2024-03-14 15:00
反馈途径
作者自查
反馈内容
添加对证书的排查,如果存在恶意证书可能导致其他排查失效
完成情况
已添加
完成时间
2024-07-08 17:06
备注信息
35. 添加钓鱼排查流程
反馈项
反馈信息
反馈编号
WYJXY-0035
反馈者
NOP Team
反馈时间
2024-05-02 19:25
反馈途径
作者自查
反馈内容
增加钓鱼排查流程
完成情况
已添加
完成时间
2024-07-09 00:00
备注信息
36. 添加 badusb 类事件排查流程
反馈项
反馈信息
反馈编号
WYJXY-0036
反馈者
NOP Team
反馈时间
2024-03-06 21:46
反馈途径
作者自查
反馈内容
添加 badusb 类事件排查流程
完成情况
已添加
完成时间
2024-07-09 02:31
备注信息
手册中案例是使用鼠标模拟 badusb ,如果有 badusb ,日志分析可能更准确
下载地址
https://pan.baidu.com/s/1EbmHeu\_xRNKOcH3PEKbwww?pwd=7kxa
https://github.com/Just-Hack-For-Fun/Windows-INCIDENT-RESPONSE-COOKBOOK
`Hash md5: 194b5c14ff3c81ac4384ce62f3dcf78a sha-256: cfda362ca0817b7800fd3c745d8296978fc220a7a89d52dfe9d52d8f1d28a205 `
往期文章
有态度,不苟同
